Konfigurace virtuální sítě

Virtuální síť vytvoří zabezpečenou hranici kolem vašeho prostředí Azure Container Apps. Ve výchozím nastavení se prostředí vytvářejí pomocí virtuální sítě, která se automaticky vygeneruje. Použití existující virtuální sítě ale poskytuje více síťových funkcí Azure, jako je integrace se službou Application Gateway, skupiny zabezpečení sítě a komunikace s prostředky za privátními koncovými body. Tato konfigurace je důležitá pro podnikové zákazníky, kteří potřebují izolovat interní důležité aplikace od veřejného internetu.

Při vytváření virtuální sítě mějte na paměti následující situace:

• Pokud chcete, aby vaše aplikace kontejneru omezovala veškerý vnější přístup, vytvořte interní prostředí Container Apps.

• Pokud používáte vlastní virtuální síť, musíte poskytnout podsíť vyhrazenou výhradně pro vaši aplikaci kontejneru. Tato podsíť není dostupná pro jiné služby.

• Síťové adresy se přiřazují z rozsahu podsítě, který definujete při vytváření prostředí.

  • Rozsah podsítě používaný prostředím Container Apps můžete definovat.

  • Příchozí požadavky můžete omezit výhradně na virtuální síť tím, že prostředí nasadíte jako interní.

Poznámka:

Když poskytnete vlastní virtuální síť, vytvoří se další spravované prostředky. Za tyto prostředky se účtují náklady podle jejich přidružených sazeb.

Když začnete navrhovat síť kolem aplikace kontejneru, přečtěte si informace o plánování virtuálních sítí.

Poznámka:

Přesun virtuálních sítí mezi různými skupinami prostředků nebo předplatnými není povolený, pokud je virtuální síť používána prostředím Container Apps.

Podsíť

Integrace virtuální sítě závisí na vyhrazeném podsíti. Přidělení IP adres v podsíti a podporované velikosti podsítí závisí na plánu , který používáte v Azure Container Apps.

Pečlivě vyberte velikost podsítě. Velikosti podsítí se po vytvoření prostředí Container Apps nedají upravit.

Různé typy prostředí mají různé požadavky na podsíť:

Prostředí profilů úloh

• /27 je minimální velikost podsítě potřebná pro integraci virtuální sítě.

• Podsíť musíte delegovat na Microsoft.App/environments.

• Při použití externího prostředí s externím příchozím přenosem dat se příchozí provoz směruje přes veřejnou IP adresu infrastruktury místo přes vaši podsíť.

• Container Apps automaticky rezervuje 12 IP adres pro integraci s podsítí. Počet IP adres požadovaných pro integraci infrastruktury se nemění v závislosti na požadavcích na škálování prostředí. Další IP adresy se přidělují podle následujících pravidel v závislosti na typu profilu úloh, který používáte:

  • Vyhrazený profil pracovního zatížení: Když se vaše kontejnerová aplikace rozšiřuje, každý uzel má přiřazenou jednu IP adresu.

  • Profil zátěže spotřeby: Každá IP adresa může být sdílena mezi více replikami. Při plánování, kolik IP adres je pro vaši aplikaci potřeba, naplánujte 1 IP adresu na 10 replik.

• Pokud provedete změnu v revizi v režimu jedné revize, požadovaný adresní prostor se krátkodobě zdvojnásobí, aby bylo možné zajistit nasazení bez výpadků. To má vliv na skutečné, dostupné podporované repliky nebo uzly pro danou velikost podsítě. Následující tabulka uvádí jak maximální dostupné adresy na blok CIDR, tak vliv na horizontální škálování.

  Velikost podsítě	Dostupné IP adresy1	Maximální počet uzlů (profil vyhrazené úlohy)2	Maximální počet replik (profil pracovního zatížení Consumption)2
  /23	498	249	2,490
  /24	242	121	1,210
  /25	114	57	570
  /26	50	25	250
  /27	18	9	90

  ¹ Dostupná IP adresa je velikost podsítě minus 14 IP adres požadovaných pro infrastrukturu Azure Container Apps, která zahrnuje 5 IP adres vyhrazených podsítí. ² To zohledňuje aplikace v režimu jediné revize.

Prostředí jen pro spotřebu

• /23 je minimální velikost podsítě potřebná pro integraci virtuální sítě.

• Vaše podsíť nesmí být delegována na žádné služby.

• Modul runtime Container Apps si vyhrazuje minimálně 60 IP adres pro infrastrukturu ve vaší virtuální síti. Rezervovaná částka se může zvýšit až na 256 adres, protože aplikace ve vašem prostředí se škáluje.

• Při škálování aplikací se pro každou novou repliku přidělí nová IP adresa.

• Pokud provedete změnu v revizi v režimu jedné revize, požadovaný adresní prostor se krátkodobě zdvojnásobí, aby bylo možné zajistit nasazení bez výpadků. To má vliv na skutečné dostupné podporované repliky pro danou velikost podsítě.

Omezení rozsahu adres podsítě

Prostředí profilů úloh

Rozsahy adres podsítě se nemůžou překrývat s následujícími rozsahy vyhrazenými službami Azure Kubernetes Services:

• 169.254.0.0/16
• 172.30.0.0/16
• 172.31.0.0/16
• 192.0.2.0/24

Prostředí profilů úloh si navíc vyhrazuje následující adresy:

• 100.100.0.0/17
• 100.100.128.0/19
• 100.100.160.0/19
• 100.100.192.0/19

Prostředí jen pro spotřebu

Rozsahy adres podsítě se nemůžou překrývat s následujícími rozsahy vyhrazenými službami Azure Kubernetes Services:

• 169.254.0.0/16
• 172.30.0.0/16
• 172.31.0.0/16
• 192.0.2.0/24

Pokud jste vytvořili prostředí kontejnerových aplikací s vlastní službou CIDR, ujistěte se, že podsíť vaší aplikace kontejneru (nebo jakákoli partnerská podsíť) není v konfliktu s rozsahem CIDR vaší vlastní služby.

Konfigurace podsítě pomocí rozhraní příkazového řádku

Při vytváření prostředí Container Apps zadáte ID prostředků pro jednu konkrétní podsíť.

Pokud používáte rozhraní příkazového řádku, parametr definující ID prostředku podsítě je infrastructure-subnet-resource-id. Podsíť hostuje komponenty infrastruktury a kontejnery uživatelských aplikací.

Pokud používáte Azure CLI pouze s prostředím Consumption a definuje se rozsah platformReservedCidr , obě podsítě se nesmí překrývat s rozsahem IP adres definovaným v platformReservedCidr.

Integrace služby NAT Gateway

Pomocí služby NAT Gateway můžete zjednodušit odchozí připojení pro odchozí internetový provoz ve vaší virtuální síti v prostředí profilů úloh.

Při konfiguraci služby NAT Gateway ve vaší podsíti poskytuje služba NAT Gateway statickou veřejnou IP adresu pro vaše prostředí. Veškerý odchozí provoz z vaší aplikace kontejneru se směruje přes statickou veřejnou IP adresu služby NAT Gateway.

Spravované prostředky

Když do vlastní sítě nasadíte interní nebo externí prostředí, vytvoří se nová skupina prostředků v předplatném Azure, kde je vaše prostředí hostované. Tato skupina prostředků obsahuje komponenty infrastruktury spravované platformou Azure Container Apps. Neupravujte služby v této skupině ani samotnou skupinu prostředků.

Poznámka:

Uživatelem definované značky přiřazené prostředí Container Apps se replikují do všech prostředků v rámci skupiny prostředků, včetně samotné skupiny prostředků.

Prostředí profilů úloh

Název skupiny prostředků vytvořené v předplatném Azure, ve kterém je vaše prostředí hostované ME_ , má ve výchozím nastavení předponu a název skupiny prostředků se dá přizpůsobit při vytváření prostředí kontejnerové aplikace.

V případě externích prostředí obsahuje skupina prostředků veřejnou IP adresu použitou speciálně pro příchozí připojení k vašemu externímu prostředí a nástroji pro vyrovnávání zatížení. V interních prostředích skupina prostředků obsahuje pouze Load Balancer.

Kromě standardní fakturace Azure Container Apps se vám účtují následující poplatky:

• Jedna standardní statická veřejná IP adresa pro výchozí přenos dat, pokud používáte interní nebo externí prostředí, plus jednu standardní statickou veřejnou IP adresu pro příchozí přenos dat, pokud používáte externí prostředí. Pokud kvůli problémům s funkcí SNAT potřebujete více veřejných IP adres pro odchozí přenos dat, podejte žádost o podporu a požádejte o výjimku.

• Jeden standardní vyrovnávač zatížení.

• Náklady na zpracovávaná data (v GB) zahrnují příchozí i výchozí přenos dat pro operace správy.

Prostředí pouze pro spotřebu

Název skupiny prostředků vytvořené v předplatném Azure, ve kterém je vaše prostředí hostované, má ve výchozím nastavení předponu MC_, a název této skupiny prostředků nelze při vytváření aplikace kontejneru upravit. Skupina prostředků obsahuje veřejné IP adresy používané speciálně pro odchozí připojení z vašeho prostředí a nástroj pro vyrovnávání zatížení.

Kromě standardní fakturace Azure Container Apps se vám účtují následující poplatky:

• Jedna standardní statická veřejná IP adresa pro výchozí přenos dat. Pokud potřebujete další IP adresy pro výstupní provoz kvůli problémům se zdrojovým překladem adres (SNAT), vytvořte tiket podpory a požádejte o výjimku.

• Dva standardní nástroje pro vyrovnávání zatížení, pokud používáte interní prostředí, nebo jeden standardní nástroj pro vyrovnávání zatížení, pokud používáte externí prostředí. Každý nástroj pro vyrovnávání zatížení má méně než šest pravidel. Náklady na zpracovávaná data (v GB) zahrnují příchozí i výchozí přenos dat pro operace správy.

Další kroky

Správa odchozích připojení pomocí služby Azure Firewall